意大利政府系统性获取个人数据的法律

文/郭杨

意大利是欧洲南部地区国家，该国在系统性获取个人数据方面有较为完整的法律体系，既充分尊重个人数据隐私的保护，又授予司法机构和执法机构对个人数据宽泛的处理权，还通过法律强制性要求某些行业汇报个人数据。

一、保护个人数据隐私的法律

（一）宪法

意大利现行的宪法是1947年通过的，由于当时计算机和电子数据库尚未出现，因此该宪法中没有设立直接对个人数据隐私进行保护的条款。然而，宪法第2、3、13条（涉及个人自由和尊严），第14条（家庭不可侵犯）和第15条（涉及通信自由和秘密）都与个人隐私保护有关，它们一并构成了个人隐私保护的宪法基础。此外，宪法第11条和第117条也为欧盟法律规制（如欧洲《基本权利宪章》）对意大利本国法律系统产生影响奠定了基础。因此，意大利宪法间接地对个人数据隐私保护进行了规定。

（二）专门法律

在1996年以前，意大利没有关于个人数据隐私保护的专门法律，仅仅通过一些零散的法律条文对个人数据隐私保护进行规制。1996年，意大利通过了旨在规制个人数据处理的法案，以执行欧盟《个人数据保护指令》（95/46/EC），2003年，该法案被《数据保护法》取代。

《数据保护法》适用于规制个人和公共机构对个人数据的处理，被认为是一部关于个人数据的专门法律。《数据保护法》第18条第2段规定，公共机构只能“为了履行机构的任务”而处理个人数据。第20条规定，在处理敏感数据和司法数据时，只有在“法律授权指定可处理的数据类别和可执行的操作类别，并符合实际公共利益”的条件下才能实施。第22条第3段规定，公共机构只有在非用不可的情况下才可以处理敏感数据和司法数据，此外还应采取特别的技术措施以提高数据处理的安全性。第18条规定，公共机构必须遵守该法制定的规则、要求和限制，这也意味着个人数据得以处理的前提必须是“相关、充分并且不能超出所搜集和处理的目的和范围”，信息系统和软件也应尽量减少使用个人数据和识别数据”。

二、司法机构和执法机构对个人数据的处理

（一）对个人数据进行处理的原则

《数据保护法》第46至第49条对司法机构处理个人数据进行了规制：个人数据应当合法、公正地处理；个人数据应当基于具体的、明确的、合法的目的搜集和记录；个人数据应当用于与所述目的相一致的处理操作中；个人数据应准确，并在必要时保持更新；个人数据应相关、完整，且不超出搜集目的或随后的处理范围；个人数据应以允许识别数据主体的方式储存。由于法院数据库能够对个人的权利和自由产生深远影响，因此上述这些规定对于司法领域尤其重要。当司法机构对其他公共机构的数据、资料和记录进行访问时，司法机构可以利用司法部长与其他公共机构的标准协定来获取数据。

为了执法和维护公共安全，《数据保护法》也规制了执法机构对个人数据的处理。第53条规定，该法若干条款不适用于执法机构为了维护公共秩序和保卫公共安全的目的而对个人数据进行的处理，也不适用于执法机构为了预防、侦查和打击犯罪而对个人数据进行的处理。为获得第53条所规定的豁免，对个人数据的处理必须满足以下三个条件：由警察或同等的公共机构执行；为了维护公共秩序与保卫公共安全，或为了预防、侦查或打击犯罪而执行；根据其他法律的明确规定而执行。

意大利情报机构，如国内信息与安全局（AISI）和国外信息与安全局（AISE）在执行情报行动时也要受法律的约束。《数据保护法》第3条和第11条对数据最小化、必要性、合法性、公平性、使用限制、精确性等进行了规定；第15条对损害赔偿责任进行了规定；第31条和第33条对安全保障措施进行了规定。

（二）通信监听

意大利的有关法律将通信监听称作“谈话、通信监听”，其主要包括两类，一是以《意大利刑事诉讼法》第266条至第271条为依据的司法监听，此类监听的结果可作为法庭证据使用；二是以《意大利刑事诉讼法细则》第226条为依据的情报预警监听，此类监听的目的是通过采集有利于搜查的情报，防止团伙性犯罪的发生，但监听的结果不能作为法庭证据使用。

《刑事诉讼法》规制了对个人通信，如电话、谈话和电子通信的司法监听。第266条第1项规定了对包括手机、固话、传真等在内的电话、谈话的监听。第266条第2项规定了对包括短信、Skype通话、IP电话等在内的电子通信的监听。在意大利，对电话、谈话和电子通信实施监听已成为重要的调查手段，近年来得到了大量使用。据意大利司法部长披露，2011年，对个人通信的司法监听总数为135533次。其中，电话监听为121072次，谈话监听为11888次，电子通信监听为2573次。由于司法监听是最具侵入性的手段之一，它们会严重侵犯宪法15条所保护的通信自由和秘密，以及宪法第14条保护的家庭不可侵犯性，因此只有在符合《刑事诉讼法》第266条至第271条的条件下，个人通信才能被监听。司法监听必须由司法机构授权，且只针对严重犯罪行为。

除了《刑事诉讼法》之外，《刑事诉讼法细则》第226条还规定了一种特殊的监听方式——情报预警监听。与司法监听手段相同，情报预警监听的对象是以电子产品为媒介进行的通信及谈话，情报预警监听可采用病毒植入监听手段，但情报预警监听所获得的全部资料均不得用于刑事诉讼。《刑事诉讼法细则》对情报预警监听的申请与审批、适用的犯罪类别等进行了详细规定。

（三）数据存留

《数据保护法》第132条规定，出于侦查和打击犯罪的目的，可以保存电话流量数据。截至目前，该条款先后经历过两次修订，第一次依据2001年《网络犯罪公约》（Cyber-crime Convention）进行修订，第二次依据欧盟《数据存留指令》（2006/ 24/EC）进行修订。在数据存留时间的确定上，修订前的第132条根据犯罪严重程度和特定调查目的来确定存留时间，而修订后的第132条则确定了统一的存留时间，即通信运营商必须将流量数据存留24个月，将电子通信流量数据存留24个月，将未接通电话的有关数据存留30天。在24个月内，检察官可以向通信运营商发布命令，要求其提供数据。

（四）冻结命令

冻结命令是犯罪调查的一个重要措施，它无需得到司法授权，主要被警察用于获取互联网服务提供商的流量数据。根据《数据保护法》第132条第4款的规定，内政部长或警察有权要求互联网服务提供商将流量数据存留不超过90天，以便实施《刑事诉讼法实施规则》第226条所规定的审前调查行动。如果有合法的理由，90天的期限还可以延长至180天。第132条第4款还规定，任何收到冻结命令的互联网服务提供商，不得延误对数据的存留，并负有保密义务。此外，根据第4款所采取的措施应向检察官书面告知，检察官如果认为满足先决条件，则应予以书面批准，如果不同意，则停止措施的执行。

三、要求强制性汇报个人数据的法律

景区附近执勤的罗马警察

（一）要求汇报个人金融信息的法律

为打击日益猖獗的偷税与漏税行为，意大利税务登记部门近年来加强了对金融领域个人数据的系统性获取。2011年，时任总理蒙蒂颁布的“拯救意大利”法令规定，金融从业人员有义务向税务登记部门汇报其所拥有账户的活动情况及其他相关信息，以便后者实施税收控制。第605/1973号总统令规定，通过邮政往来账户进行的1500欧元以内的交易无需汇报。此外，意大利税务局局长可以就必须上报的信息类型和数量发布具体规定。第201/2011号法规定，国家社会安全协会应向意大利税务局和意大利金融警卫队告知所有福利受益者的信息。这些信息将与个人纳税申报表相匹配，以防止偷税漏税。第78/2010号法规定，当个人使用信用卡或电子货币购买3600欧元以上物品时，金融从业人员必须向意大利税务局进行汇报。

（二）要求汇报可疑金融交易信息的法律

第231/2007号法律规定，金融从业人员、非金融企业和其他职业人员（如会计师、公证员、律师等）有义务向意大利银行设立的金融情报部门汇报可疑交易情况。该部门负责对可疑交易进行分析，以及对任何可能与洗钱或恐怖分子融资有关的其他事实进行调查。分析与调查的结果必须向司法机构和警察机构转交，以便做进一步调查。

（三）要求汇报旅馆房客信息的法律

与其他许多西方国家不同的是，意大利长期以来一直有向警察自动汇报旅馆房客身份信息的习惯。这种做法的依据最早可追溯至1931年法西斯独裁政权实施的有关规定。直到今天，旅馆经营者等责任主体将房客（意大利人和外国人）信息进行登记并及时汇报警方的做法还在持续。2013年1月，意大利内政部长颁布了一项新的法令，要求旅馆经营者应在24小时内向警方报告其房客的个人信息。这些数据可以通过电子方式传送，并将被记录在内政部建立的中央数据库中，可以保存五年。司法机构和警察机构只有基于维护公共秩序和保卫公共安全，或预防、侦查和打击犯罪的目的才可访问这些数据。

（四）要求汇报手机用户信息的法律

《电子通信法》（Electronic Communications Code）第55条第7款规定，电信公司需要识别所有手机用户的身份信息，并以电子方式将姓名列表传送至内政部。司法机构可以基于司法目的访问这些数据。

（五）要求汇报机动车事故信息的法律

《个人保险法》（Private Insurance Code）第135条建立了一个关于机动车事故信息的数据库，其目的是加强预防和打击机动车强制保险欺诈行为。根据此条规定，保险公司还应将涉及保单持有人的事故数据告知个人保险监管机构。这些数据应当由司法机构等获取，以预防和打击欺诈行为。■